Evaluación de riesgos de la arquitectura de seguridad de la red informática
Nivel de seguridad de la información:
1. El nivel más alto es seguro.
2. Nivel secreto: alto secreto, secreto, secreto
3. Interno
público
La estrategia de seguridad de la construcción de la red debe basarse en Principios de construcción de redes, posicionamiento y selección de niveles de seguridad de la información.
Una política de seguridad de red es una descripción de un plan de seguridad de red, un plan de acción para diseñar y construir seguridad de red para proteger contra intrusos internos y externos y prevenir fugas en línea.
El seguro es un equilibrio entre coste y riesgo. Primero, para comprender claramente qué tan valioso es su sistema para usted, el valor de la información debe considerarse en dos aspectos: qué tan crítico es y qué tan sensible es. En segundo lugar, es necesario medir o, a menudo, adivinar la probabilidad de verse amenazado, para poder desarrollar políticas y procedimientos de seguridad razonables.
Los métodos de análisis de riesgos se pueden dividir en dos categorías: análisis de riesgos cuantitativos y análisis de riesgos cualitativos. El análisis de riesgo cuantitativo se basa en la medición y estadísticas de eventos para formar un modelo de probabilidad. La parte más difícil del análisis cuantitativo de riesgos es evaluar las probabilidades. No sabemos cuándo ocurrirán los acontecimientos, no sabemos cuán costosos son estos ataques, ni cuántos son, no sabemos qué proporción de la amenaza provocada por el hombre la representan personas externas; Recientemente, se han aplicado técnicas de simulación Monte Carlo al análisis de riesgo de módulos utilizando distribuciones de probabilidad apropiadas. Pero no es muy práctico y se utilizan riesgos más cualitativos.
El análisis de riesgos se centra en factores como el nivel de amenaza de la información, el grado de exposición de la información al mundo exterior, la importancia y sensibilidad de la información, y realiza una evaluación integral basada en estos factores. .
Por lo general, el análisis de riesgos se puede enumerar en forma matricial:
Combinado con las ponderaciones anteriores, es decir:
Puntuación = (Amenaza × Transparencia) + ( Importancia × Sensibilidad)
= (3 × 3) + (5 × 3) = 24
De acuerdo con la matriz de análisis de riesgo se puede concluir que el nivel de riesgo es riesgo medio .
El desarrollo de una estrategia de seguridad de red debe comenzar con un análisis detallado de sensibilidad y criticidad. El análisis de riesgos, en la era de la guerra de la información, los factores humanos también dificultan el análisis de riesgos.